JP2003318893A - Method and device for verifying certificate information and authentication station - Google Patents
Method and device for verifying certificate information and authentication stationInfo
- Publication number
- JP2003318893A JP2003318893A JP2002126915A JP2002126915A JP2003318893A JP 2003318893 A JP2003318893 A JP 2003318893A JP 2002126915 A JP2002126915 A JP 2002126915A JP 2002126915 A JP2002126915 A JP 2002126915A JP 2003318893 A JP2003318893 A JP 2003318893A
- Authority
- JP
- Japan
- Prior art keywords
- information
- incidental
- management server
- public key
- supplementary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は証明書情報検証方法
および装置に関する。TECHNICAL FIELD The present invention relates to a certificate information verification method and apparatus.
【0002】[0002]
【従来の技術】通信相手の認証、電子データの真正性の
確認のためには、公開鍵暗号方式によるディジタル署名
の技術が広く利用されている。2. Description of the Related Art A digital signature technique based on a public key cryptosystem is widely used for authentication of a communication partner and confirmation of authenticity of electronic data.
【0003】通信相手を認証する際には、通信相手から
受信したディジタル署名を通信相手の公開鍵(検証鍵)
によって検証し、検証に成功すれば意図する通信相手で
あると判定する。この時、公開鍵は厳密に意図する通信
相手に対応するものでなければ、認証処理の結果を信用
することができないため、公開鍵認証基盤(PKI)で
は、公開鍵と公開鍵の持ち主の対応関係を、信頼する第
三者機関として認証局が証明を行ない、証明の事実を公
開鍵証明書と呼ばれる電子データの形式で発行、流通さ
せる方式を採っている。認証局が発行する公開鍵証明書
は、認証局が定める有効期間の間、公開鍵と公開鍵の持
ち主を表わすIDの対応関係を証明するものである。When authenticating a communication partner, the digital signature received from the communication partner is the public key (verification key) of the communication partner.
If the verification is successful, it is determined to be the intended communication partner. At this time, if the public key does not correspond strictly to the intended communication partner, the result of the authentication processing cannot be trusted. Therefore, in the public key authentication infrastructure (PKI), the correspondence between the public key and the owner of the public key The certification authority certifies the relationship as a trusted third party, and the fact of the certification is issued and distributed in the form of electronic data called public key certificate. The public key certificate issued by the certificate authority certifies the correspondence between the public key and the ID representing the owner of the public key during the validity period defined by the certificate authority.
【0004】ここで、公開鍵証明書は、上記の対応関係
以外にも、公開鍵や公開鍵の持ち主に関する様々な情報
を含めることができる。実際に、現在、公開鍵証明書を
適用する分野、システム、ネットワークサービスによっ
て、多様な情報(以下、付帯情報と呼ぶ)を公開鍵証明
書に含めて公開鍵と共に流通させている。Here, the public key certificate can include various information related to the public key and the owner of the public key, in addition to the above correspondence. Actually, at present, various information (hereinafter referred to as supplementary information) is included in the public key certificate and distributed together with the public key depending on the field, system, and network service to which the public key certificate is applied.
【0005】仮に、上記のような公開鍵証明書の付帯情
報に変更があった場合には、変更内容を反映した公開鍵
証明書を再発行する必要がある。If there is a change in the supplementary information of the public key certificate as described above, it is necessary to reissue the public key certificate that reflects the contents of the change.
【0006】しかしながら、公開鍵証明書を再発行する
と、公開鍵証明書の持ち主のみならず、再発行された公
開鍵証明書によって認証処理を行なう必要が利用者、シ
ステム、装置には、認証処理のために変更があった付帯
情報を利用していない場合にも再配布する必要があり、
変更頻度が高い情報を付帯情報として公開鍵証明書に格
納すると配布コストが増大するという問題があった。However, when the public key certificate is reissued, not only the owner of the public key certificate but also the reissued public key certificate needs to be authenticated. It is necessary to redistribute even if you do not use the incidental information changed due to
Storing information that is frequently changed as supplementary information in a public key certificate has a problem of increasing distribution cost.
【0007】[0007]
【発明が解決しようとする課題】上述した従来の方法で
は、公開鍵証明書にさまざまな利用者情報を付帯情報と
して格納できるにもかかわらず、変更頻度が高い付帯情
報を格納してしまうと、公開鍵証明書の再発行が頻発
し、結果的に公開鍵証明書を利用するシステム、装置、
サービスのコスト増大を招いていた。In the above-mentioned conventional method, although various user information can be stored as supplementary information in the public key certificate, if supplementary information that is frequently changed is stored, Frequent reissues of public key certificates result in systems, devices that use public key certificates,
This has led to an increase in service costs.
【0008】本発明の目的は、変更頻度が高い付帯情報
を公開鍵証明書の証明対象の情報として解釈可能とし、
付帯情報に変更があった場合にも公開鍵証明書を再発行
することなく実施可能な証明書情報検証方法および装置
を提供することにある。An object of the present invention is to make it possible to interpret incidental information that is frequently changed as information to be certified by a public key certificate,
It is to provide a certificate information verification method and apparatus that can be implemented without reissuing a public key certificate even if the incidental information is changed.
【0009】[0009]
【課題を解決するための手段】認証局は、公開鍵証明書
の付帯情報(証明書付帯情報)の識別情報と、証明書付
帯情報の管理・変更権限を認証局から委譲された付帯情
報管理サーバの識別情報とを含む公開鍵証明書をあらか
じめ発行しておく。また、公開鍵証明書情報検証装置
に、証明書付帯情報を検証する付帯情報検証情報と、付
帯情報管理サーバ識別情報に対応する付帯情報管理サー
バの通信アドレスを表わす付帯情報管理サーバアドレス
情報と、付帯情報管理サーバとの通信手段をあらかじめ
備えておく。また、付帯情報管理サーバには、付帯情報
識別情報と、付帯情報と付帯情報認証情報とを含む証明
書付帯情報を格納しておく。[Means for Solving the Problem] The certificate authority is an administrator of the incidental information delegated by the certificate authority to the identification information of the incidental information (certificate incidental information) of the public key certificate and the authority to manage and change the certificate incidental information. A public key certificate including the server identification information is issued in advance. Further, the public key certificate information verification device includes incidental information verification information for verifying the incidental information of the certificate, and incidental information management server address information indicating a communication address of the incidental information management server corresponding to the incidental information management server identification information, A means for communicating with the incidental information management server is provided in advance. Further, the supplementary information management server stores supplementary information identification information and certificate supplementary information including supplementary information and supplementary information authentication information.
【0010】公開鍵証明書情報検証装置は、公開鍵証明
書を入力として受け取り、該公開鍵証明書から付帯情報
識別情報と付帯情報管理サーバ識別情報とを取り出し、
付帯情報管理サーバ識別情報に対応する付帯情報管理サ
ーバアドレス情報によって付帯情報管理サーバへの通信
手段を利用することにより付帯情報管理サーバから付帯
情報識別情報に対応する証明書付帯情報を取得し、該付
帯情報管理サーバ識別情報が特定する付帯情報管理サー
バにより該証明書付帯情報が作成されたものであること
を該証明書付帯情報に含まれる付帯情報認証情報と、付
帯情報検証情報によって検証し、検証が成功した場合に
は、公開鍵証明書に含まれる情報と証明書付帯情報に含
まれる付帯情報とを合わせて、公開鍵証明書が表わす有
効な証明情報であると判定する。The public key certificate information verification device receives the public key certificate as an input, extracts the incidental information identification information and the incidental information management server identification information from the public key certificate,
The certificate incidental information corresponding to the incidental information identification information is acquired from the incidental information management server by using the communication means to the incidental information management server according to the incidental information management server address information corresponding to the incidental information management server identification information. It is verified by the incidental information management information that is included in the certificate incidental information that the incidental information management server specified by the incidental information management server identification information has created the certificate incidental information, and the incidental information verification information, If the verification is successful, the information contained in the public key certificate and the supplementary information contained in the certificate supplementary information are combined to determine that the certificate is valid certification information represented by the public key certificate.
【0011】通信相手や電子データの認証処理を行なう
ために用いる公開鍵証明書から更新可能部分を付帯情報
として分離し、付帯情報管理サーバが管理することと
し、付帯情報の変更権限を、公開鍵証明書を発行した認
証局が付帯情報管理サーバに権限委譲することにより、
公開鍵証明書を再発行することなく公開鍵証明書の証明
内容を部分的に変更可能となる。The updatable part is separated from the public key certificate used for authenticating the communication partner or the electronic data as supplementary information, and the supplementary information management server manages it. By delegating authority to the incident information management server by the certificate authority that issued the certificate,
The certification contents of the public key certificate can be partially changed without reissuing the public key certificate.
【0012】本発明の他の態様では、通信網を利用して
付帯情報管理サーバから証明書付帯情報を取得する代り
に、証明書情報検証装置に証明書付帯情報をあらかじめ
登録しておき、付帯情報識別情報に対応する証明書付帯
情報が登録されていることを判定し、登録されている場
合には該証明書付帯情報を取得する。In another aspect of the present invention, instead of using the communication network to acquire the certificate supplementary information from the supplementary information management server, the certificate supplementary information is registered in advance in the certificate information verification device, and the supplementary information is attached. It is determined that the certificate accompanying information corresponding to the information identification information is registered, and if registered, the certificate accompanying information is acquired.
【0013】これにより、通信網を利用できない場合で
も検証処理が可能となる。As a result, the verification process can be performed even when the communication network cannot be used.
【0014】本発明のさらに他の態様では、認証局は、
付帯情報識別情報と、付帯情報の管理・変更権限を認証
局から委譲された付帯情報管理サーバの付帯情報管理サ
ーバ識別情報とともに、付帯情報管理サーバ識別情報に
対応する付帯情報管理サーバの通信アドレスを表わす付
帯情報管理サーバアドレス情報を含む公開鍵証明書をあ
らかじめ発行しておき、また、公開鍵証明書情報検証装
置には、証明書付帯情報を検証する付帯情報検証情報
と、付帯情報管理サーバへの通信手段をあらかじめ備え
ておく。そして、公開鍵証明書が証明する情報の有効性
を検証する際、受け取った公開鍵証明書から付帯情報識
別情報と付帯情報管理サーバ識別情報と付帯情報管理サ
ーバアドレス情報とを取得し、取得された付帯情報管理
サーバアドレスによって特定される付帯情報管理サーバ
への通信手段を利用することにより付帯情報管理サーバ
から付帯情報識別情報に対応する証明書付帯情報を取得
する。In yet another aspect of the invention, the certificate authority is
With the incidental information identification information and the incidental information management server identification information of the incidental information management server that has been delegated the authority to manage and change the incidental information, the communication information of the incidental information management server that corresponds to the incidental information management server identification information A public key certificate including address information of the incidental information management server is issued in advance, and the public key certificate information verification device has incidental information verification information for verifying the incidental information of the certificate and an incidental information management server. The communication means of is prepared in advance. Then, when verifying the validity of the information certified by the public key certificate, the supplementary information identification information, the supplementary information management server identification information, and the supplementary information management server address information are acquired from the received public key certificate, and acquired. By using the communication means to the incidental information management server specified by the incidental information management server address, the certificate incidental information corresponding to the incidental information identification information is acquired from the incidental information management server.
【0015】したがって、公開鍵証明書証明装置は、付
帯情報管理サーバの通信手段を備えていれば、通信先を
あらかじめ登録しておかなくても、公開鍵証明書に含ま
れる情報によって通信することが可能となる。Therefore, as long as the public key certificate certifying device has the communication means of the incidental information management server, the public key certificate certifying device can communicate by the information included in the public key certificate without registering the communication destination in advance. Is possible.
【0016】付帯情報認証情報として公開鍵認証基盤に
よる認証手段を用いることにより、公開鍵認証基盤に対
応した認証プログラム、システムを利用して付帯情報の
正当性を検証することが可能となる。By using the authentication means based on the public key authentication infrastructure as the incidental information authentication information, it becomes possible to verify the validity of the incidental information by using the authentication program and system corresponding to the public key authentication infrastructure.
【0017】付帯情報管理サーバへのアクセス権限を設
定して、アクセス権限のない利用者や検証プログラム等
からの付帯情報を取得を防止することにより、あらかじ
め限られた範囲で扱いたい情報を付帯情報として、公開
鍵証明書の証明対象情報として解釈することが可能とな
る。By setting the access authority to the incidental information management server and preventing acquisition of incidental information from a user who does not have the access authority or a verification program, the information to be handled within a limited range in advance is incidental information. As a result, it can be interpreted as the certification target information of the public key certificate.
【0018】付帯情報識別情報に対応する証明書付帯情
報が複数存在する場合には、登録日時が新しいものを採
用することにより、証明書付帯情報が変更となり、変更
前の古い証明書付帯情報が混在する環境下でも適切な証
明書付帯情報を選択することが可能となる。When there are a plurality of certificate supplementary information corresponding to the supplementary information identification information, the certificate supplementary information is changed by adopting a new one having a new registration date and time, and the old certificate supplementary information before the change is used. Even in a mixed environment, it is possible to select appropriate certificate supplementary information.
【0019】[0019]
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。DESCRIPTION OF THE PREFERRED EMBODIMENTS Next, embodiments of the present invention will be described with reference to the drawings.
【0020】図1に示すように、本発明の証明書情報検
証システムは、公開鍵証明書の証明情報の有効性を検証
する公開鍵証明書情報検証装置1と、公開鍵証明書の付
帯情報を管理・格納する付帯情報管理サーバ2とによっ
て構成され、公開鍵証明書情報検証装置1と付帯情報管
理サーバ2はインターネットのような通信網3によって
互いに接続されている。As shown in FIG. 1, the certificate information verification system of the present invention comprises a public key certificate information verification device 1 for verifying the validity of the certification information of the public key certificate, and the supplementary information of the public key certificate. Of the public key certificate information verification device 1 and the supplementary information management server 2 are connected to each other by a communication network 3 such as the Internet.
【0021】第1の実施形態
図2は本実施形態で用いられる公開鍵証明書4を示して
いる。公開鍵証明書4は署名対象部41と署名データ部
42によって構成され、署名対象部41には認証局識別
情報411と付帯情報識別情報412と付帯情報管理サ
ーバ識別情報413とが含まれる。署名データ部42
は、認証局識別情報411によって特定される認証局の
公開鍵証明書に含まれる公開鍵に対応する秘密鍵によっ
て署名対象部41を暗号化して得られたデータである。
公開鍵証明書4は、認証局識別情報411に対応する公
開鍵証明書に含まれる公開鍵(検証鍵)により署名デー
タ部42の検証を行ない、検証が成功した場合は、公開
鍵証明書4が、認証局識別情報411が特定する認証局
によって発行された公開鍵証明書であることを確認でき
る。付帯情報管理サーバ識別情報413は、公開鍵証明
書4を発行した認証局が、公開鍵証明書4の付帯情報の
管理、変更権限を委譲した付帯情報管理サーバを特定す
るための情報である。付帯情報管理サーバ識別情報41
3で特定される付帯情報管理サーバ2内では、公開鍵証
明書4の付帯情報を付帯情報識別情報412に特定す
る。 First Embodiment FIG. 2 shows a public key certificate 4 used in this embodiment. The public key certificate 4 is composed of a signature target section 41 and a signature data section 42, and the signature target section 41 includes certification authority identification information 411, supplementary information identification information 412, and supplementary information management server identification information 413. Signature data section 42
Is data obtained by encrypting the signature target unit 41 with the private key corresponding to the public key included in the public key certificate of the certification authority specified by the certification authority identification information 411.
The public key certificate 4 verifies the signature data section 42 with the public key (verification key) included in the public key certificate corresponding to the certificate authority identification information 411. If the verification is successful, the public key certificate 4 Is a public key certificate issued by the certification authority specified by the certification authority identification information 411. The incidental information management server identification information 413 is information for the certificate authority that issued the public key certificate 4 to specify the incidental information management server that has delegated the authority to manage the incidental information of the public key certificate 4 and change authority. Additional information management server identification information 41
In the incidental information management server 2 specified in 3, the incidental information of the public key certificate 4 is specified as incidental information identification information 412.
【0022】図3は付帯情報管理サーバ2が作成、管理
する証明書付帯情報5を示している。証明書付帯情報5
は付帯情報識別情報51と付帯情報52と付帯情報認証
情報53とによって構成される。FIG. 3 shows the certificate supplementary information 5 created and managed by the supplementary information management server 2. Certificate supplementary information 5
Is composed of incidental information identification information 51, incidental information 52, and incidental information authentication information 53.
【0023】図4に示すように、公開鍵証明書情報検証
装置1は、検証対象情報入力部11と公開鍵証明書有効
性検証部12と公開鍵証明書情報取得部13と付帯情報
取得部14と付帯情報検証部15と検証結果出力部16
とを有する。As shown in FIG. 4, the public key certificate information verification device 1 includes a verification target information input unit 11, a public key certificate validity verification unit 12, a public key certificate information acquisition unit 13, and an incidental information acquisition unit. 14, incidental information verification unit 15 and verification result output unit 16
Have and.
【0024】検証対象入力部11は検証対象の公開鍵証
明書4を入力する。公開鍵証明書有効性検証部12は、
署名データ部42の有効性を認証局識別情報411によ
って特定される認証局の有効な公開鍵証明書を用いて検
証するとともに、公開鍵認証基盤(PKI)の標準規約
によって定められる公開鍵証明書の有効性検証を行な
う。公開鍵証明書情報取得部13は、公開鍵証明書4か
ら付帯情報識別情報412と付帯情報管理サーバ識別情
報413とを取り出す。付帯情報取得部14は、付帯情
報管理サーバ識別情報413によって特定される付帯情
報管理サーバ2の通信アドレスをもとに、付帯情報管理
サーバ2との通信手段を利用することによって、付帯情
報管理サーバ2から、付帯情報識別情報412によって
特定される証明書付帯情報5を取得する。付帯情報検証
部15は、付帯情報取得部14で取得した証明書付帯情
報5の有効性を付帯情報認証情報53(図3)と付帯情
報検証情報によって検証する。検証結果出力部16は、
公開鍵証明書有効性検証部12によって公開鍵証明書4
の有効性が確認され、かつ、付帯情報検証部15によっ
て証明書付帯情報5の有効性が確認された場合に、公開
鍵証明書4と付帯情報52の内容が有効な情報であるこ
とを結果として返却する。The verification target input unit 11 inputs the public key certificate 4 to be verified. The public key certificate validity verification unit 12
The validity of the signature data part 42 is verified by using the valid public key certificate of the certificate authority specified by the certificate authority identification information 411, and the public key certificate is defined by the standard rule of the public key certification infrastructure (PKI). Validate the validity of. The public key certificate information acquisition unit 13 extracts the incidental information identification information 412 and the incidental information management server identification information 413 from the public key certificate 4. The incidental information acquisition unit 14 uses the communication means for communicating with the incidental information management server 2 based on the communication address of the incidental information management server 2 specified by the incidental information management server identification information 413. The certificate supplementary information 5 specified by the supplementary information identification information 412 is acquired from 2. The incidental information verification unit 15 verifies the validity of the certificate incidental information 5 acquired by the incidental information acquisition unit 14 using the incidental information authentication information 53 (FIG. 3) and the incidental information verification information. The verification result output unit 16
The public key certificate validity verification unit 12 public key certificate 4
If the validity of the certificate is confirmed and the validity of the certificate supplementary information 5 is confirmed by the supplementary information verification unit 15, it is determined that the contents of the public key certificate 4 and the supplementary information 52 are valid information. To return.
【0025】図5は付帯情報管理サーバ2の構成を示し
ている。付帯情報管理サーバ2は証明書付帯情報提供部
21と証明書付帯情報管理部22で構成されている。証
明書付帯情報提供部21は、付帯情報識別情報51を入
力として受け付ける。証明書付帯情報管理部22は、1
つ以上の証明書付帯情報5を保持し、付帯情報識別情報
51に対応する証明書付帯情報5を特定する。FIG. 5 shows the configuration of the incidental information management server 2. The incidental information management server 2 includes a certificate incidental information providing unit 21 and a certificate incidental information management unit 22. The certificate incidental information providing unit 21 receives the incidental information identification information 51 as an input. The certificate incidental information management unit 22 is 1
One or more certificate incidental information 5 is held, and the certificate incidental information 5 corresponding to the incidental information identification information 51 is specified.
【0026】次に、公開鍵証明書情報検証装置1の動作
を図6のフローチャートをもとに説明する。ステップ1
01に、検証対象入力部11は公開鍵証明書4を入力と
して取得し、ステップ102に進む。ステップ102
に、公開鍵証明書有効性検証部12は公開鍵証明書4の
有効性を検証し、判定結果が有効であれば、ステップ1
03に進む。無効であればステップ107に進む。ステ
ップ103に、公開鍵証明書情報取得部13は公開鍵証
明書4から付帯情報識別情報412と付帯情報管理サー
バ識別情報413とを取得し、ステップ104に進む。
ステップ104に、付帯情報取得部14は付帯情報識別
管理サーバ識別情報413によって特定される(あらか
じめ公開鍵証明書情報検証装置1に登録されている)付
帯情報管理サーバアドレス情報により付帯情報管理サー
バ2との通信手段を利用することによって、付帯情報管
理サーバ2から付帯情報識別情報412に対応する証明
書付帯情報5を取得し、ステップ105に進む。ステッ
プ105に、付帯情報検証部15は付帯情報認証情報5
3と(あらかじめ公開鍵証明書情報検証装置1に登録さ
れている)付帯情報検証情報によって証明書付帯情報5
の有効性を検証し、有効な場合にはステップ106に進
み、無効な場合にはステップ107に進む。ステップ1
06に、検証結果出力部16は公開鍵証明書4と証明書
付帯情報5の付帯情報52を合わせて公開鍵証明書4の
証明対象情報として有効であることを結果として出力し
て終了する。ステップ107では、結果としてエラーを
出力して終了する。Next, the operation of the public key certificate information verification device 1 will be described with reference to the flowchart of FIG. Step 1
In 01, the verification target input unit 11 acquires the public key certificate 4 as an input, and proceeds to step 102. Step 102
Then, the public key certificate validity verification unit 12 verifies the validity of the public key certificate 4, and if the determination result is valid, then step 1
Go to 03. If it is invalid, the process proceeds to step 107. In step 103, the public key certificate information acquisition unit 13 acquires the supplementary information identification information 412 and the supplementary information management server identification information 413 from the public key certificate 4, and proceeds to step 104.
In step 104, the incidental information acquisition unit 14 is specified by the incidental information identification management server identification information 413 (previously registered in the public key certificate information verification apparatus 1) by the incidental information management server address information, the incidental information management server 2 The certificate supplementary information 5 corresponding to the supplementary information identification information 412 is acquired from the supplementary information management server 2 by using the communication means with and the process proceeds to step 105. In step 105, the incidental information verification unit 15 determines the incidental information authentication information 5
3 and the supplementary information verification information (previously registered in the public key certificate information verification device 1), the certificate supplementary information 5
Is verified, and if it is valid, the process proceeds to step 106, and if it is invalid, the process proceeds to step 107. Step 1
At 06, the verification result output unit 16 outputs the result that the public key certificate 4 and the supplementary information 52 of the certificate supplementary information 5 are valid as the certification target information of the public key certificate 4, and ends. In step 107, an error is output as a result, and the process ends.
【0027】第2の実施形態
第1の実施形態の公開鍵証明書情報検証装置1では通信
網を利用して公開鍵証明書4に対応する証明書付帯情報
5を取得している。 Second Embodiment The public key certificate information verification apparatus 1 of the first embodiment uses the communication network to acquire the certificate supplementary information 5 corresponding to the public key certificate 4.
【0028】本実施形態では、図7に示すように、公開
鍵証明書情報検証装置1内に付帯情報記憶部17を設
け、付帯情報記憶部17内に複数の証明書付帯情報5を
予め登録しておくことによって、通信網を利用できない
場合でも検証処理を可能としたものである。In the present embodiment, as shown in FIG. 7, a supplementary information storage unit 17 is provided in the public key certificate information verification device 1, and a plurality of certificate supplementary information 5 is registered in advance in the supplementary information storage unit 17. By doing so, the verification process can be performed even when the communication network cannot be used.
【0029】図8は本実施形態の公開鍵証明書情報検証
装置の動作を示すフローチャートである。FIG. 8 is a flow chart showing the operation of the public key certificate information verification device of this embodiment.
【0030】ステップ108で付帯情報識別情報412
に対応する証明書付帯情報5を付帯情報記憶部17から
取得する点が図6のフローチャートと異なる。At step 108, incidental information identification information 412
6 is different from the flowchart in FIG. 6 in that the certificate additional information 5 corresponding to the above is acquired from the additional information storage unit 17.
【0031】本実施形態では、ステップ108にて、証
明書付帯情報5を装置1内から取得できた場合のみ記載
しているが、取得できなかった場合には、ステップ10
7に進み、エラーを結果として出力してもよいし、ある
いは、第1の実施形態に示されるような、通信網を介し
て証明書付帯情報5の取得処理を行なってもよい。In the present embodiment, only the case where the certificate supplementary information 5 can be acquired from the inside of the device 1 is described in step 108, but when it cannot be acquired, the step 10 is executed.
7, the error may be output as a result, or the certificate supplementary information 5 may be acquired via the communication network as shown in the first embodiment.
【0032】第3の実施形態
第1の実施形態の公開鍵証明書情報検証装置1では、付
帯情報管理サーバアドレス情報をあらかじめ装置1内に
登録しておく必要がある。本実施形態は、公開鍵証明書
4に付帯情報管理サーバ識別情報413に合わせて、付
帯情報管理サーバアドレス情報414も含めることとし
たもので、これにより装置1内に付帯情報管理サーバア
ドレス情報を予め登録しておく必要がない。図9は、構
成要素として付帯情報管理サーバアドレス情報414を
追加した公開鍵証明書4を表わしている。 Third Embodiment In the public key certificate information verification device 1 of the first embodiment, it is necessary to register the auxiliary information management server address information in the device 1 in advance. In the present embodiment, the supplementary information management server address information 414 is included in the public key certificate 4 in accordance with the supplementary information management server identification information 413, whereby the supplementary information management server address information is stored in the device 1. There is no need to register in advance. FIG. 9 shows the public key certificate 4 with the additional information management server address information 414 added as a component.
【0033】図10は本実施形態の公開鍵証明書情報検
証装置1の動作を示すフローチャートである。FIG. 10 is a flowchart showing the operation of the public key certificate information verification device 1 of this embodiment.
【0034】ステップ109で、公開鍵証明書情報取得
部13は公開鍵証明書4から付帯情報識別情報412と
付帯情報管理サーバ識別情報413と付帯情報管理サー
バアドレス情報414を取得し、ステップ110で、付
帯情報取得部14は付帯情報管理サーバアドレス情報4
14により付帯情報管理サーバ2との通信手段を利用す
ることによって、付帯情報識別管理サーバ識別情報41
3に対応する付帯情報管理サーバ2から付帯情報識別情
報412に対応する証明書付帯情報5を取得する点が第
1の実施形態と異なる。In step 109, the public key certificate information acquisition unit 13 acquires the incidental information identification information 412, the incidental information management server identification information 413, and the incidental information management server address information 414 from the public key certificate 4, and in step 110. The incidental information acquisition unit 14 indicates incidental information management server address information 4
By using the communication means with the incidental information management server 2 by 14, the incidental information identification management server identification information 41
3 is different from the first embodiment in that the certificate incidental information 5 corresponding to the incidental information identification information 412 is acquired from the incidental information management server 2 corresponding to No. 3.
【0035】第4の実施形態
以上の第1、第2、第3の実施形態では、証明書付帯情
報5が、対応する公開鍵証明書4を発行した認証局から
正しく権限委譲された付帯情報管理サーバ2によって作
成されたものであることを付帯情報認証情報53により
検証している。このような付帯情報認証情報53の実現
手段として、現在、電子データの真正性を検証可能とす
るために広く利用されている、公開鍵暗号方式によるデ
ィジタル署名を利用することができる。また、この場
合、付帯情報検証情報としてはディジタル署名を生成し
た付帯情報管理サーバ2の公開鍵証明書4を用いること
が適当である。この場合、付帯情報認証情報53を付帯
情報管理サーバ2によるディジタル署名とし、公開鍵証
明書情報検証装置1は、公開鍵証明書4に含まれる付帯
情報管理サーバ識別情報413によって特定される付帯
情報管理サーバ2の公開鍵証明書4を付帯情報検証情報
として保持しているものとする。 Fourth Embodiment In the above first, second, and third embodiments, the certificate supplementary information 5 is supplementary information in which the authority has been properly delegated from the certificate authority that issued the corresponding public key certificate 4. The incidental information authentication information 53 verifies that it was created by the management server 2. As a means for realizing such supplementary information authentication information 53, a digital signature by a public key cryptosystem, which is widely used at present for verifying the authenticity of electronic data, can be used. In this case, it is appropriate to use the public key certificate 4 of the incidental information management server 2 that has generated the digital signature as the incidental information verification information. In this case, the supplementary information authentication information 53 is used as a digital signature by the supplementary information management server 2, and the public key certificate information verification device 1 identifies the supplementary information specified by the supplementary information management server identification information 413 included in the public key certificate 4. It is assumed that the public key certificate 4 of the management server 2 is held as supplementary information verification information.
【0036】具体的には、第1から第3の実施形態のス
テップ105において、付帯情報検証部15は、上記の
ような付帯情報管理サーバ2のディジタル署名を付帯情
報認証情報53として、付帯情報管理サーバ2の公開鍵
証明書4を付帯情報検証情報とする処理を行なえばよ
い。Specifically, in step 105 of the first to third embodiments, the incidental information verification unit 15 uses the digital signature of the incidental information management server 2 as the incidental information authentication information 53 as the incidental information. The public key certificate 4 of the management server 2 may be used as the supplementary information verification information.
【0037】なお、以上のように、付帯情報認証情報に
ディジタル署名を適用する場合、例えば、付帯情報とし
て、IETF PKIXワーキンググループで標準化が
進められている属性証明書を用いることや、W3Cが規
定するXML(Extensible Markup
Language)によって記述されるXML文書に、
同W3Cが規定するXML Signatureによる
ディジタル署名を付与した電子データを用いるなどの方
法が考えられる。As described above, when the digital signature is applied to the supplementary information authentication information, for example, as the supplementary information, the attribute certificate standardized by the IETF PKIX working group is used, or the W3C defines it. XML (Extensible Markup)
In the XML document described by Language),
A method of using electronic data with a digital signature according to XML Signature defined by the W3C is conceivable.
【0038】第5の実施形態
以上の第1、第3の実施形態で、公開鍵証明書情報検証
装置1は、付帯情報管理サーバ2から付帯情報識別情報
51に対応する証明書付帯情報5を無条件に取得可能と
なっている。しかしながら、これは証明書付帯情報5に
限られた範囲にのみ公開したい情報を含めたい場合など
に問題が生じる。そこで、付帯情報管理サーバ2は、図
11に示すように、証明書付帯情報5ごとに証明書付帯
情報アクセス制御情報6を保持し、付帯情報識別情報5
1に対応する証明書付帯情報アクセス制御情報6を特定
する証明書付帯情報アクセス制御情報管理部23を有
し、証明書付帯情報5に対して定められたアクセス制御
情報6(通信者認証、権限認証、等)を満たす場合にの
み、証明書付帯情報5を取得可能とし、上記の問題を解
決する。 Fifth Embodiment In the above first and third embodiments, the public key certificate information verification device 1 receives the certificate supplementary information 5 corresponding to the supplementary information identification information 51 from the supplementary information management server 2. It can be acquired unconditionally. However, this causes a problem when it is desired to include information to be disclosed only in a limited range in the certificate accompanying information 5. Therefore, the incidental information management server 2 holds the certificate incidental information access control information 6 for each certificate incidental information 5 as shown in FIG.
1 has a certificate accompanying information access control information management unit 23 for specifying the certificate accompanying information access control information 6 corresponding to the access control information 6 (correspondence authentication, authority Only when the authentication, etc.) is satisfied, the certificate supplementary information 5 can be acquired, and the above problem is solved.
【0039】第6の実施形態
また、本実施形態により、公開鍵証明書4を再発行せず
に、証明書付帯情報5の変更が可能となるため、公開鍵
証明書4に対応する新旧の証明書付帯情報5が混在する
可能性がある。そこで、第1の実施形態のステップ10
4、第2の実施形態のステップ108、第3の実施形態
のステップ110において、付帯情報取得部14は、複
数の証明書付帯情報5を取得した場合には、証明書付帯
情報5の登録日付が新しいものを採用することによっ
て、適切な証明書付帯情報5を選択可能となる。 Sixth Embodiment Further, according to this embodiment, since the certificate supplementary information 5 can be changed without reissuing the public key certificate 4, the old and new corresponding to the public key certificate 4 can be changed. There is a possibility that the certificate supplementary information 5 will be mixed. Therefore, step 10 of the first embodiment
4. In step 108 of the second embodiment and step 110 of the third embodiment, when the supplementary information acquisition unit 14 acquires a plurality of pieces of certificate supplementary information 5, the registration date of the certificate supplementary information 5 is registered. By adopting a new one, it becomes possible to select appropriate certificate supplementary information 5.
【0040】なお、公開鍵証明書情報検証装置1内の処
理は専用のハードウェアにより実現されるもの以外に、
その機能を実現するためのプログラムを、コンピュータ
読み取り可能な記録媒体に記録して、この記録媒体に記
録されたプログラムをコンピュータシステムに読み込ま
せ、実行するものであってもよい。コンピュータ読み取
り可能な記録媒体とは、フロッピー(登録商標)ディス
ク、光磁気ディスク、CD−ROM等の記録媒体、コン
ピュータシステムに内蔵されるハードディスク装置等の
記憶装置を指す。さらに、コンピュータ読み取り可能な
記録媒体は、インターネットを介してプログラムを送信
する場合のように、短時間の間、動的にプログラムを保
持するもの(伝送媒体もしくは伝送波)、その場合のサ
ーバとなるコンピュータシステム内部の揮発性メモリの
ように、一定時間プログラムを保持しているものも含
む。The processing in the public key certificate information verification apparatus 1 is not limited to that realized by dedicated hardware,
A program for realizing the function may be recorded in a computer-readable recording medium, and the program recorded in the recording medium may be read and executed by a computer system. The computer-readable recording medium refers to a recording medium such as a floppy (registered trademark) disk, a magneto-optical disk, a CD-ROM, or a storage device such as a hard disk device built in a computer system. Further, the computer-readable recording medium dynamically holds the program for a short time (transmission medium or transmission wave) such as when transmitting the program via the Internet, and serves as a server in that case. It also includes a volatile memory that holds a program for a certain period of time, such as a volatile memory inside a computer system.
【0041】[0041]
【発明の効果】以上説明したように、本発明は下記のよ
うな効果がある。As described above, the present invention has the following effects.
【0042】請求項1と7の発明は、公開鍵証明書の証
明対象情報のうち変更頻度が高い付帯情報を、公開鍵証
明書を発行した認証局が、付帯情報管理サーバに管理・
変更権限を委譲した上で格納し、公開鍵証明書の証明対
象情報を検証、解釈する際には、公開鍵証明書に含まれ
る情報と公開鍵証明書から特定される付帯情報管理サー
バから得られる付帯情報が表わす情報とを合わせて解釈
結果とすることによって、付帯情報に変更があった場合
にも、公開鍵証明書を再発行する必要がなく、公開鍵証
明書を発行した認証局は付帯情報の管理・変更権限を安
全に付帯情報管理サーバに委譲することができる。これ
により、公開鍵証明書に利便性が高いが変更頻度が高
く、従来の方法では、格納することが困難であった情報
を、公開鍵証明書の証明対象情報として解釈可能とな
り、間接的に公開鍵証明書に含めることが可能となる。According to the first and seventh aspects of the present invention, the supplementary information that is frequently changed among the certification target information of the public key certificate is managed by the certification authority that issued the public key certificate in the supplementary information management server.
The authority to change is stored after delegation, and when verifying and interpreting the certification target information of the public key certificate, the information included in the public key certificate and the incidental information management server specified by the public key certificate are obtained. By using the interpretation result together with the information represented by the supplementary information, it is not necessary to reissue the public key certificate even if the supplementary information changes, and the certificate authority that issued the public key certificate The authority to manage / change the incidental information can be safely transferred to the incidental information management server. This makes it possible to interpret the information that is difficult to store by the conventional method as public key certificate certification target information, which is highly convenient but frequently changed, and indirectly. It can be included in the public key certificate.
【0043】請求項2と8の発明は、オフラインでアク
セス可能な記憶媒体に公開鍵証明書に含まれる付帯情報
識別情報が特定する付帯情報を格納し、この情報を公開
鍵証明書の情報と共に、公開鍵証明書の証明対象情報と
して解釈することにより、付帯情報管理サーバにオンラ
インでアクセス可能な状態でなくても、公開鍵証明書に
利便性が高いが変更頻度が高く、従来の方法では、格納
することが困難であった情報を、公開鍵証明書の証明対
象情報として解釈可能となり、間接的に公開鍵証明書に
含めることが可能となる。According to the second and eighth aspects of the present invention, the supplementary information specified by the supplementary information identification information included in the public key certificate is stored in the storage medium accessible offline, and this information is stored together with the information of the public key certificate. , By interpreting it as the certification target information of the public key certificate, even if the incidental information management server is not accessible online, the public key certificate is convenient but frequently changed. Information that was difficult to store can be interpreted as the certification target information of the public key certificate, and can be indirectly included in the public key certificate.
【0044】請求項3と9の発明は、公開鍵証明書に、
公開鍵証明書の付帯情報を管理する付帯情報管理サーバ
と通信するために必要な付帯情報管理サーバアドレス情
報を含めることにより、公開鍵証明書検証装置は、付帯
情報管理サーバの通信手段を備えていれば、通信先をあ
らかじめ登録しておかなくても、公開鍵証明書に含まれ
る情報によって通信することが可能となる。According to the inventions of claims 3 and 9, the public key certificate is
By including the supplementary information management server address information necessary for communicating with the supplementary information management server that manages the supplementary information of the public key certificate, the public key certificate verification device includes the communication means of the supplementary information management server. In this way, it becomes possible to communicate using the information included in the public key certificate without registering the communication destination in advance.
【0045】請求項4と10の発明は、付帯情報認証情
報として公開鍵認証基盤による認証手段を用いることに
より、公開鍵認証基盤に対応した認証プログラム、シス
テムを利用して付帯情報の正当性を検証することが可能
となる。According to the fourth and tenth aspects of the present invention, by using the authentication means based on the public key authentication infrastructure as the incidental information authentication information, the validity of the incidental information is verified by using the authentication program and system corresponding to the public key authentication infrastructure. It becomes possible to verify.
【0046】請求項5と11の発明は、付帯情報管理サ
ーバへのアクセス権限を設定して、アクセス権限のない
利用者や検証プログラム等からの付帯情報を取得を防止
することにより、あらかじめ限られた範囲で扱いたい情
報を付帯情報として、公開鍵証明書の証明対象情報とし
て解釈することが可能となる。The inventions of claims 5 and 11 are limited in advance by setting access authority to the incidental information management server and preventing acquisition of incidental information from a user who does not have access authority or a verification program. It is possible to interpret the information that is desired to be handled within the range as supplementary information as the certification target information of the public key certificate.
【0047】請求項6と12の発明は、付帯情報識別情
報に対応する証明書付帯情報が複数存在する場合には、
登録日時が新しいものを採用することにより、証明書付
帯情報が変更となり、変更前の古い証明書付帯情報が混
在する環境下でも適切な証明書付帯情報を選択すること
が可能となる。According to the sixth and twelfth aspects of the present invention, when there are a plurality of certificate supplementary information corresponding to the supplementary information identifying information,
By adopting a new registration date and time, the certificate supplementary information is changed, and it is possible to select appropriate certificate supplementary information even in an environment where old certificate supplementary information before change is mixed.
【図1】本発明の証明書情報検証システムの構成図であ
る。FIG. 1 is a configuration diagram of a certificate information verification system of the present invention.
【図2】公開鍵証明書の構成を示す図である。FIG. 2 is a diagram showing a configuration of a public key certificate.
【図3】証明書付帯情報の構成を示す図である。FIG. 3 is a diagram showing a configuration of certificate supplementary information.
【図4】第1の実施形態の公開鍵証明書情報検証装置の
構成図である。FIG. 4 is a configuration diagram of a public key certificate information verification device according to the first embodiment.
【図5】第1の実施形態の付帯情報管理サーバの構成図
である。FIG. 5 is a configuration diagram of an incidental information management server according to the first embodiment.
【図6】図4の公開鍵証明書情報検証装置の動作を示す
フローチャートである。FIG. 6 is a flowchart showing the operation of the public key certificate information verification device of FIG.
【図7】第2の実施形態の公開鍵証明書情報検証装置の
構成図である。FIG. 7 is a configuration diagram of a public key certificate information verification device according to a second exemplary embodiment.
【図8】第2の実施形態の公開鍵証明書情報検証装置の
動作を示すフローチャートである。FIG. 8 is a flowchart showing an operation of the public key certificate information verification device of the second exemplary embodiment.
【図9】第3の実施形態の公開鍵証明書の構成を示す図
である。FIG. 9 is a diagram showing a configuration of a public key certificate according to a third embodiment.
【図10】第3の実施形態の公開鍵証明書情報検証装置
の動作を示すフローチャートである。FIG. 10 is a flowchart showing the operation of the public key certificate information verification device of the third exemplary embodiment.
【図11】第5の実施形態の付帯情報管理サーバの構成
図である。FIG. 11 is a configuration diagram of an incidental information management server according to a fifth embodiment.
1 公開鍵証明書情報検証装置 2 付帯情報管理サーバ 3 通信網 4 公開鍵証明書 41 署名対象部 411 認証局情報 412 付帯情報識別情報 413 付帯情報管理サーバ識別情報 414 付帯情報管理サーバアドレス情報 42 署名データ部 5 証明書付帯情報 51 付帯情報識別情報 52 付帯情報 53 付帯情報認証情報 6 証明書付帯情報アクセス制御情報 11 検証対象入力部 12 公開鍵証明書有効性検証部 13 公開鍵証明書情報取得部 14 付帯情報取得部 15 付帯情報検証部 16 検証結果出力部 17 付帯情報記憶部 21 証明書付帯情報提供部 22 証明書付帯情報管理部 23 証明書付帯情報アクセス制御情報管理部 101〜110 ステップ 1 Public key certificate information verification device 2 incidental information management server 3 communication network 4 Public key certificate 41 Signature Target Part 411 Certificate Authority information 412 Additional information identification information 413 incidental information management server identification information 414 Additional information management server address information 42 Signature data section 5 Certificate incidental information 51 Additional information identification information 52 Additional information 53 Additional information Authentication information 6 Certificate incidental information access control information 11 Verification target input section 12 Public Key Certificate Validity Verification Section 13 Public key certificate information acquisition unit 14 Additional information acquisition unit 15 Incidental information verification section 16 Verification result output section 17 Additional information storage 21 Certificate Attached Information Provision Department 22 Certificate Attached Information Management Department 23 Certificate Attached Information Access Control Information Management Department 101-110 steps
───────────────────────────────────────────────────── フロントページの続き (72)発明者 大嶋 嘉人 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5J104 AA16 EA05 MA02 ─────────────────────────────────────────────────── ─── Continued front page (72) Inventor Yoshito Oshima 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation F term (reference) 5J104 AA16 EA05 MA02
Claims (14)
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力ス
テップと、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報を取得する公開鍵証明書情
報取得ステップと、 前記付帯情報管理サーバの識別情報に対応する付帯情報
管理サーバアドレス情報を用いて付帯情報管理サーバへ
の通信手段を利用することによって、前記付帯情報管理
サーバの識別情報に対応する付帯情報管理サーバから前
記付帯情報の識別情報が示す付帯情報を取得する付帯情
報取得ステップと、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、付帯情報検証情報によって検証する付帯情報検証ス
テップと、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証ステップを有する公開鍵証明書情報検証方法。1. A public disclosure including identification information of incidental information of a public key certificate issued in advance by a certificate authority, and identification information of an incidental information management server delegated the management / change authority of the incidental information from the certificate authority. A verification target input step of inputting a key certificate, a public key certificate information acquisition step of acquiring identification information of the supplementary information and identification information of the supplementary information management server from the public key certificate, the supplementary information management server Of the incidental information management server corresponding to the identification information of the incidental information management server by using the communication means to the incidental information management server using the address information of the incidental information management server. Incidental information acquisition step of acquiring the incidental information indicated by the information, and the incidental information acquired is indicated by the identification information of the incidental information management server. Included in the public key certificate that the information was created by the server, the additional information authentication information included in the additional information, and the additional information verification step of verifying with the additional information verification information; A public key certificate information verification method comprising a public key certificate validity verification step of determining that the public key certificate is valid certificate information represented by the information and the supplementary information.
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力ス
テップと、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報を取得する公開鍵証明書情
報取得ステップと、 前記付帯情報の識別情報に対応する付帯情報を公開鍵証
明書情報検証装置から取得する付帯情報取得ステップ
と、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、付帯情報検証情報によって検証する付帯情報検証ス
テップと、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証ステップを有する公開鍵証明書情報検証方法。2. A publication including identification information of incidental information of a public key certificate issued in advance by the certificate authority and identification information of an incidental information management server delegated the authority to manage and change the incidental information from the certificate authority. A verification target input step of inputting a key certificate, a public key certificate information acquisition step of acquiring identification information of the supplementary information and identification information of the supplementary information management server from the public key certificate, and identification of the supplementary information The supplementary information acquisition step of obtaining supplementary information corresponding to the information from the public key certificate information verification device, and the supplementary information acquired is created by the supplementary information management server indicated by the identification information of the supplementary information management server. And the additional information verification information included in the additional information and the additional information verification step for verifying the additional information verification information, and if the verification is successful, Public key certificate information verification method having information and the supplementary information and determining the public key certificate validation step as a valid certification information indicating that the public key certificate together contained Hirakikagi certificate.
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力ス
テップと、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報とアドレス情報を取得する
公開鍵証明書情報取得ステップと、 前記付帯情報管理サーバのアドレス情報により前記付帯
情報管理サーバへの通信手段を利用することによって、
前記付帯情報識別管理サーバの識別情報に対応する付帯
情報管理サーバから前記付帯情報の識別情報に対応する
付帯情報を取得する付帯情報取得ステップと、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、付帯情報検証情報によって検証する付帯情報検証ス
テップと、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証ステップを有する公開鍵証明書情報検証方法。3. A disclosure including identification information of incidental information of a public key certificate issued in advance by the certificate authority and identification information of an incidental information management server delegated the authority to manage and change the incidental information from the certificate authority. A verification target input step of inputting a key certificate; a public key certificate information acquisition step of acquiring identification information of the supplementary information, identification information of the supplementary information management server, and address information from the public key certificate; By using the communication means to the incidental information management server by the address information of the information management server,
An incidental information acquisition step of acquiring incidental information corresponding to the identification information of the incidental information from the incidental information management server corresponding to the identification information of the incidental information identification management server; and the acquired incidental information identifying the incidental information management server. The supplementary information authentication information included in the supplementary information and the supplementary information verification step for verifying the supplementary information verification information that the information is created by the supplementary information management server; A public key certificate information verification method comprising a public key certificate validity verification step of determining that the information included in the public key certificate and the supplementary information are valid proof information represented by the public key certificate.
情報認証情報を公開鍵暗号方式による署名データとし、
前記付帯情報検証情報を該署名データを検証するための
検証鍵を含む情報とすることにより、前記付帯情報の作
成者が前記公開鍵証明書に含まれる付帯情報管理サーバ
識別情報によって特定される付帯情報管理サーバである
ことを検証する、請求項1から3のいずれか1項に記載
の証明書情報検証方法。4. The supplementary information verifying step uses the supplementary information authentication information as signature data by a public key cryptosystem,
By using the supplementary information verification information as the information including the verification key for verifying the signature data, the supplementary information creator is identified by the supplementary information management server identification information included in the public key certificate. The certificate information verification method according to any one of claims 1 to 3, which verifies that the information management server is the information management server.
報と共に該証明書付帯情報に対応する付帯情報アクセス
権限情報を格納しておき、前記付帯情報取得ステップで
前記付帯情報管理サーバ識別情報に対応する付帯情報管
理サーバアドレス情報によって特定される付帯情報管理
サーバへの通信手段を利用することによって、該付帯情
報管理サーバが前記付帯情報アクセス権限情報によるア
クセス権限の判定に成功した場合にのみ該付帯情報管理
サーバから付帯情報識別情報に対応する証明書付帯情報
が返却される、請求項1または3に記載の証明書情報検
証方法。5. The supplementary information management server stores the supplementary information access authority information corresponding to the supplementary information of the certificate together with the supplementary information of the certificate, and corresponds to the identification information of the supplementary information management server in the supplementary information acquisition step. By using the communication means to the incidental information management server specified by the incidental information management server address information, the incidental information management server can be used only when the incidental information management server succeeds in determining the access authority based on the incidental information access authority information. The certificate information verification method according to claim 1 or 3, wherein the certificate incidental information corresponding to the incidental information identification information is returned from the information management server.
情報の識別情報に対応する付帯情報が複数取得された場
合には、登録日時が新しいものを前記付帯情報の識別情
報に対応する付帯情報として採用する、請求項1から5
のいずれか1項に記載の証明書情報検証方法。6. When a plurality of pieces of incidental information corresponding to the identification information of the incidental information are acquired in the incidental information acquisition step, one having a new registration date and time is set as the incidental information corresponding to the identification information of the incidental information. Adopted, claims 1 to 5
The certificate information verification method described in any one of 1.
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力手
段と、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報を取得する公開鍵証明書情
報取得手段と、 前記付帯情報管理サーバの識別情報に対応する付帯情報
管理サーバアドレス情報を用いて付帯情報管理サーバへ
の通信手段を利用することによって、前記付帯情報管理
サーバの識別情報に対応する付帯情報管理サーバから前
記付帯情報の識別情報が示す付帯情報を取得する付帯情
報取得手段と、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、予め保持されている付帯情報検証情報によって検証
する付帯情報検証手段と、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証手段を有する公開鍵証明書情報検証装置。7. A publication including identification information of incidental information of a public key certificate issued in advance by the certificate authority and identification information of an incidental information management server delegated the authority to manage and change the incidental information from the certificate authority. Verification target input means for inputting a key certificate, public key certificate information acquisition means for acquiring identification information of the supplementary information and identification information of the supplementary information management server from the public key certificate, and the supplementary information management server Of the incidental information management server corresponding to the identification information of the incidental information management server by using the communication means to the incidental information management server using the address information of the incidental information management server. By the incidental information acquisition means for acquiring the incidental information indicated by the information, and the incidental information acquired by the incidental information management server indicated by the identification information of the incidental information management server. If the verification is successful, the public key is used to verify that it was created by using the supplementary information authentication information included in the supplementary information and the supplementary information verification information stored in advance. A public key certificate information verification device having public key certificate validity verification means for determining that the information included in the certificate and the supplementary information are valid certificate information represented by the public key certificate.
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力手
段と、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報を取得する公開鍵証明書情
報取得手段と、 前記付帯情報の識別情報に対応する付帯情報を公開鍵証
明書情報検証装置から取得する付帯情報取得手段と、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、予め保持されている付帯情報検証情報によって検証
する付帯情報検証手段と、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証手段を有する公開鍵証明書情報検証装置。8. A publication including identification information of incidental information of a public key certificate issued in advance by a certificate authority and identification information of an incidental information management server delegated the authority to manage and change the incidental information from the certificate authority. Verification target input means for inputting a key certificate, public key certificate information acquisition means for acquiring identification information of the supplementary information and identification information of the supplementary information management server from the public key certificate, and identification of the supplementary information The incidental information corresponding to the information is created by an incidental information acquisition unit that acquires the incidental information from the public key certificate information verification device, and the acquired incidental information is created by the incidental information management server indicated by the identification information of the incidental information management server. And the supplementary information verification means for verifying the supplementary information authentication information included in the supplementary information and the supplementary information verification information stored in advance. Public key certificate information verification apparatus having information and the supplementary information and determining the public key certificate validation unit as a valid certification information indicating that the public key certificate together included in the public key certificate.
明書の付帯情報の識別情報と、該付帯情報の管理・変更
権限を前記認証局から委譲された付帯情報管理サーバの
識別情報を含む公開鍵証明書を入力する検証対象入力手
段と、 前記公開鍵証明書から前記付帯情報の識別情報と前記付
帯情報管理サーバの識別情報と付帯情報管理サーバアド
レス情報を取得する公開鍵証明書情報取得手段と、 前記付帯情報管理サーバのアドレス情報により前記付帯
情報管理サーバへの通信手段を利用することによって、
前記付帯情報識別管理サーバの識別情報に対応する付帯
情報管理サーバから前記付帯情報の識別情報に対応する
証明書付帯情報を取得する付帯情報取得手段と、 取得された付帯情報が前記付帯情報管理サーバの識別情
報が示す付帯情報管理サーバによって作成されたもので
あることを、該付帯情報に含まれる付帯情報認証情報
と、予め保持されている付帯情報検証情報によって検証
する付帯情報検証手段と、 検証が成功した場合には前記公開鍵証明書に含まれる情
報と前記付帯情報とを合わせて該公開鍵証明書が表わす
有効な証明情報であると判定する公開鍵証明書有効性検
証手段を有する公開鍵証明書情報検証装置。9. A disclosure including the identification information of the incidental information of the public key certificate issued in advance by the certificate authority and the identification information of the incidental information management server delegated the authority to manage and change the incidental information from the certificate authority. Verification target input means for inputting a key certificate, public key certificate information acquisition means for acquiring identification information of the supplementary information, identification information of the supplementary information management server, and supplementary information management server address information from the public key certificate By using the communication means to the incidental information management server according to the address information of the incidental information management server,
A supplementary information acquisition unit for acquiring certificate supplementary information corresponding to the identification information of the supplementary information from the supplementary information management server corresponding to the identification information of the supplementary information identification management server, and the supplementary information obtained is the supplementary information management server. The additional information verification means for verifying that it was created by the additional information management server indicated by the identification information of the additional information, by using the additional information authentication information included in the additional information and the additional information verification information held in advance. If the authentication is successful, the public key certificate validity verification means for determining that the information included in the public key certificate and the supplementary information are valid certificate information represented by the public key certificate. Key certificate information verification device.
報認証情報が公開鍵暗号方式による署名データであり、
付帯情報検証情報が該署名データを検証するための検証
鍵を含む情報であり、前記付帯情報の作成者が前記公開
鍵証明書に含まれる付帯情報管理サーバ識別情報によっ
て特定される付帯情報管理サーバであることを検証す
る、請求項7から9のいずれか1項に記載の証明書情報
検証装置。10. The supplementary information verifying means, wherein the supplementary information authentication information is signature data based on a public key cryptosystem,
The supplementary information verification information is information including a verification key for verifying the signature data, and the supplementary information management server specified by the supplementary information management server identification information included in the public key certificate by the creator of the supplementary information. 10. The certificate information verification device according to claim 7, which verifies that
理サーバ識別情報に対応する付帯情報管理サーバアドレ
ス情報によって特定される、証明書付帯情報と共に該証
明書付帯情報に対応する付帯情報アクセス権限情報を格
納した付帯情報管理サーバへの通信手段を利用すること
によって、該付帯情報管理サーバが付帯情報アクセス権
限情報によるアクセス権限の判定に成功した場合にのみ
該付帯情報管理サーバから付帯情報識別情報に対応する
証明書付帯情報が返却される、請求項7または9に記載
の証明書情報検証装置。11. The supplementary information acquisition means specifies, together with the certificate supplementary information, the supplementary information access authority information corresponding to the certificate supplementary information, which is specified by the supplementary information management server address information corresponding to the supplementary information management server identification information. By using the communication means to the incidental information management server storing the information, the incidental information management server changes the incidental information identification information to the incidental information identification information only when the incidental information management server succeeds in determining the access authority based on the incidental information access authority information. 10. The certificate information verification device according to claim 7, wherein the corresponding certificate supplementary information is returned.
別情報に対応する付帯情報が複数取得された場合には、
登録日時が新しいものを付帯情報識別情報に対応する付
帯情報として採用する、請求項7から11のいずれか1
項に記載の証明書情報検証装置。12. The supplementary information acquisition means, when a plurality of supplementary information corresponding to the supplementary information identification information is acquired,
12. The information having a new registration date / time is adopted as the incidental information corresponding to the incidental information identification information.
The certificate information verification device described in the item.
と、該付帯情報の管理・変更権限を委譲した付帯情報管
理サーバの識別情報を含む公開鍵証明書を発行する認証
局。13. A certificate authority that issues a public key certificate including identification information of incidental information of the public key certificate and identification information of an incidental information management server that has delegated the management / change authority of the incidental information.
と、該付帯情報の管理・変更権限を委譲した付帯情報管
理サーバの識別情報と、該付帯情報管理サーバのアドレ
ス情報を含む公開鍵証明書を発行する認証局。14. A public key certificate including identification information of incidental information of a public key certificate, identification information of an incidental information management server that has delegated authority to manage and change the incidental information, and address information of the incidental information management server. Certificate authority that issues certificates.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002126915A JP3920698B2 (en) | 2002-04-26 | 2002-04-26 | Public key certificate information verification method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002126915A JP3920698B2 (en) | 2002-04-26 | 2002-04-26 | Public key certificate information verification method and apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003318893A true JP2003318893A (en) | 2003-11-07 |
| JP3920698B2 JP3920698B2 (en) | 2007-05-30 |
Family
ID=29541190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002126915A Expired - Fee Related JP3920698B2 (en) | 2002-04-26 | 2002-04-26 | Public key certificate information verification method and apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3920698B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7886153B2 (en) | 2005-06-30 | 2011-02-08 | Brother Kogyo Kabushiki Kaisha | Communication device and communication system |
-
2002
- 2002-04-26 JP JP2002126915A patent/JP3920698B2/en not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7886153B2 (en) | 2005-06-30 | 2011-02-08 | Brother Kogyo Kabushiki Kaisha | Communication device and communication system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3920698B2 (en) | 2007-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Housley et al. | RFC3280: Internet X. 509 public key infrastructure certificate and certificate revocation list (CRL) profile | |
| JP4731624B2 (en) | Assertion message signature | |
| US7356690B2 (en) | Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate | |
| CN112291245B (en) | Identity authorization method, identity authorization device, storage medium and equipment | |
| US20020004800A1 (en) | Electronic notary method and system | |
| US20070136599A1 (en) | Information processing apparatus and control method thereof | |
| CN111490873B (en) | Certificate information processing method and system based on block chain | |
| JP2002139996A (en) | Signature verification supporting device, method for confirming certificate and validity of public key, digital signature verifying method, and digital signature generating method | |
| EP1668815B1 (en) | Delegated certificate authority | |
| CN112311538A (en) | Identity authentication method, device, storage medium and equipment | |
| JP2003348077A (en) | Method and device for verifying attribute certificate | |
| Solo et al. | Internet X. 509 public key infrastructure certificate and CRL profile | |
| Wagner et al. | DNS-based trust scheme publication and discovery | |
| JP2003224563A (en) | Signature verification system and method, signature verification program and computer readable recording medium having the program recorded thereon | |
| GB2391438A (en) | Electronic sealing for electronic transactions | |
| JP2007266797A (en) | Authentication system and authentication method thereof | |
| US20020144107A1 (en) | Password exposure elimination for digital signature coupling with a host identity | |
| JP2009031849A (en) | Certificate issuing system for electronic application, electronic application reception system, and method and program therefor | |
| JP2003134109A (en) | System for verifying validity of public key certificate | |
| JP2003318893A (en) | Method and device for verifying certificate information and authentication station | |
| JP2008509591A (en) | Transaction authentication method and transaction authentication system for protecting privacy regarding electronic transaction details | |
| JP4157751B2 (en) | Content distribution system, distribution management server device, additional information reference user terminal device, program, and recording medium | |
| JP2004341897A (en) | Attribute certification information generation device, attribute certification information requesting device, attribute certification information issuing system, and attribute authentication system | |
| Ross et al. | Electronic signature policies | |
| JP2005136482A (en) | Digital signature long-term verification system, digital signature long-term verification apparatus, and computer program thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040728 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20040728 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040728 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050614 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061115 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070207 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070215 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110223 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110223 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120223 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130223 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |